拥有Charming Kitten、Mint Sandstorm等匿称的伊朗黑客组织APT35，自2014年出没以来，主要的攻击范围在中东及美国，针对能源、政府机关、科技服务单位下手，但在最近一起攻击行动里，这些黑客因为扩大活动的范围，而引起资安研究人员的注意。

威胁情报业者ThreatBook指出，他们发现APT35最新一波攻击，锁定航太及半导体产业而来，攻击范围横跨美国、泰国、阿拉伯联合酋长国（UAE）、以色列。黑客运用假造的征才网站及公司网站，并要求用户必须通过VPN存取为由，诱骗他们下载恶意程序并运行。过程中对方滥用合法云端服务，例如：OneDrive、Google Cloud、GitHub，从而隐匿行踪。

针对这起资安事故的发现，研究人员表示是发现专门针对航太产业的冒牌征才网站，该网站提供授权存取的应用程序，当中掺入了黑、白两种恶意软件组件（研究人员对于APT35使用的恶意软件归纳为两种型态，但并未说明相关定义），主要的攻击目标，他们推测是泰国专精无人机设计的专家。经过一系列的分析，研究人员确认攻击者的身分就是APT35。

思科证实10年前公布的ASA设备XSS漏洞被用于攻击行动

11月12日美国网络安全暨基础设施安全局（CISA）发布漏洞滥用的产品资安警示，其中一个是关于思科ASA防火墙设备，他们确认跨网站脚本（XSS）漏洞CVE-2014-2120已被用于攻击行动，并将其加入已遭利用漏洞列表（KEV），要求联邦机构必须在12月3日完成修补，如今思科也证实这项漏洞遭到利用的现象。

思科12月2日更新公告内容，表示他们的产品事件回应团队（PSIRT）于11月得知情报，确认有人尝试在实际攻击利用这项漏洞，因此呼吁用户应升级软件，以缓解这项弱点。

餐饮集团新天地传出遭遇DDoS攻击

12月3日上市餐饮集团新天地于股市公开观测站发布重大消息，公告他们遭受DDoS攻击的情况。事发当下，该公司立即启动相关防御机制因应。

对于这起事故可能会造成的影响，新天地指出，目前评估未有个资或内部文档数据外泄的情况，对于公司的营运，没有重大影响。他们将持续提升网络及信息基础架构的安全管控，以确保信息安全。

其他攻击与威胁

◆配置错误的Docker API成目标，攻击者企图部署恶意软件Gafgyt，并发动DDoS攻击

◆恶意程序RevC2、Venom Loader攻击行动升温

◆Cloudflare Pages、Workers服务遭到黑客滥用的情况大幅增加

【漏洞与修补】

Veeam发布新版备份集中管理工具，修补远程运行代码重大漏洞

备份与数据保护软件厂商Veeam，于12月3日发布Veeam Service Provider Console（VSPC）远程管理控制台的2个漏洞，这些漏洞会影响8.1.0.21377版以前，以及更早8.x与7.x版的VSPC，该公司发布修补版本8.1.0.21999。

首先，是严重性高达9.9分的重大漏洞CVE-2024-42448，当VSPC管理代理程序在Veeam管理服务器上获得运行的授权时，将能在服务器远程任意运行各种代码。

其次，是严重性7.1分的低风险漏洞CVE-2024-42449，当VSPC管理代理程序在伺服主机上获得授权时，有可能导致泄漏VSPC服务器主机服务帐户的NTLM散列，并删除服务器上的文件。

Progress于9月修补的WhatsUp Gold重大层级漏洞，发现问题的资安研究人员公布细节

今年9月软件业者Progress发布24.0.1版网管软件WhatsUp Gold，修补6项漏洞，其中有2项CVE-2024-8785、CVE-2024-46909为重大层级，但当时该公司仅有列出CVE编号、通报者，以及漏洞的风险评分，并未对漏洞进一步说明，如今通报漏洞的研究人员透露CVE-2024-8785的细节。

CVE-2024-8785是由资安业者Tenable通报，他们在12月2日公开这个严重程度为9.8分的漏洞，发生在名为NmAPI.exe的组件，为能够窜改Windows机码的远程代码运行（RCE）漏洞，未经授权的攻击者有机会利用这项弱点，于目标系统远程运行任意代码。对于漏洞滥用的概念性验证作法，研究人员也提出说明，帮助大家理解这项漏洞的严重性。

其他漏洞与修补

◆Trellix公告资安管理平台ESM重大漏洞，用户若不处理攻击者可运行RCE攻击

◆盛达电业无线基地台存在高风险漏洞

【资安防御措施】

韩国警方逮捕首席执行官及5名员工，起因是在生产的卫星接收器埋入DDoS攻击功能

为他人打造网络攻击工具，很有可能会吃上官司。11月28日韩国国家警察局宣布，他们逮捕1名首席执行官及5名员工，原因是这些人涉嫌制造含有DDoS攻击能力的卫星接收器，而被买家用于攻击竞争对手。

这些人所属的公司自2017年与买家往来，向他们销售卫星接收器，到了2018年11月，买家要求设备必须含有DDoS攻击能力，该制造商从2019年1月至2024年9月向他们卖出24万台卫星接收器，其中9.8万台预载DDoS攻击模块，其余则是通过固件更新引入相关功能。

上述6人被控违反《促进信息和通信网络利用暨信息保护法》，法院批准没收该公司资产，并没收销售这批设备的不法所得610亿韩元（相当于约435万美元）。韩国警方将寻求国际合作，追踪并逮捕购买设备的广播公司。

近期资安日报

【12月3日】恶意软件SmokeLoader假借报价名义攻击台湾多个领域的企业

【12月2日】网钓工具包Rockstar 2FA针对汽车相关主题网站而来，意图窃取用户的M365帐号

【11月29日】黑客利用CleverSoar恶意程序于中国、越南电脑散布多种恶意软件